Passer au contenu

Empreintes digitales : le vol par photo interposée

Les capteurs d’empreintes digitales ont la réputation d’être particulièrement sécurisés (plus que les codes classiques, en tout cas), mais ils ne représentent pas la panacée. Preuve…

Les capteurs d’empreintes digitales ont la réputation d’être particulièrement sécurisés (plus que les codes classiques, en tout cas), mais ils ne représentent pas la panacée.

img_8609-1

Preuve en est : il est maintenant possible de copier une empreinte digitale avec l’aide d’un simple appareil photo… et d’un peu de chance. Le Chaos Computer Club a mis au point une technique qui permet de se passer d’un accès “physique” à l’empreinte digitale : un faussaire habile peut en tirer un moule en latex à même de tromper la plupart des capteurs.

La solution développée par le CCC consiste à reproduire une empreinte d’un doigt pris en photo — il en faut cependant plusieurs, et de bonne qualité, qui passeront par la moulinette d’un logiciel d’authentification comme VeriFinger.

Le CCC a réalisé une démonstration avec les empreintes digitales de la ministre de la Défense d’Allemagne. La difficulté de se procurer des photos en haute résolution limite le procédé à des personnalités habituées aux flashs des paparazzis, et il faut bien sûr toujours avoir un accès physique aux terminaux à tromper.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

11 commentaires
  1. Ceux qui utilisent ces capteurs sont de toute façon suicidaires concernant leurs vie privée.

    L’authentification biométrique (empreintes digitales, rétinienne ou cardiaque) pour le smartphone c’est n’importe quoi. Si une grosse boite se fait hacker la base de donnée de mots de passes et que le votre est dedans… Simple ! Vous changez de mot de passe ! Si Samsung (ou Apple) se fait hacker sa BDD d’empreintes digitales vous faites quoi ? Vous changez de doigt ?

    Les empreintes biométriques ne se changent pas. Vous les gardez à VIE. Vous imaginez garder le même mot de passe toute votre vie ? Non. C’est pour ça qu’elles ne représentent pas une solution de sécurisation fiable.

    Arrêtons de les utiliser. Un “kncok code” ou “schéma” écran éteint est tout aussi rapide et compromet beaucoup moins sa sécurité future.

  2. Je ne sais pas comment cela fonctionne sur Android mais sur iPhone l’empreinte est stoker au niveau du téléphone et pas des serveur Apple, si c’est sans doute portable, cela reste moins simple d’explorer chaque terminal plutot que récupèrer une base de donnée. De plus sur iPhone il faut utiliser un code pour activer les empreinte a chaque reboot du téléphone.
    Si la remarque est vrai concernant des informations importante, j’avoue que Touch ID permet assez simplement de déverrouiller un téléphone (sans code à la 1234) tout en le protégeant du voleur de base. Si un motivé arrivais à copier mon empreinte, j’espère que ça ne lui aura pas coûté trop chère car a part voir mes photos de vacances, écouter ma musique et connaitre mon agenda (plus syncro car désactivé en cas de vol) il n’aura pas grand chose de plus. Et pour le payement mobile, il suffira de faire opposition à l’appareil ou à la carte enregistrée dans l’appareil, comme pour une carte classique (a l’exception que le code sera plus facilement observable et utilisable que mon empreinte le temps que je fasse opposition.
    Reste ensuite à ne pas abuser de ce système et garder les sécurité de type 3D secure pour les payement internet et virement bancaire.

  3. @kant1 : Tout comme tu es suicidaire d’utiliser le net après les annonces de la NSA… Ou d’utiliser Google quand on sait qu’ils vendent les informations à tout le monde (ou même Facebook). En gros, si tu veux faire gaffe à ta vie privée, ne prend pas de nouvelle technologie, c’est plus simple. Sinon il y a toujours un risque. 😉

  4. @kernald : je dis ça je dis rien aujourd’hui ton empreinte se balade deja plus ou moins sur le net 🙂
    je rappel que les nouveaux passeport ont besoin de l’empreinte (merci big brother) donc il suffit d’un bon hacker et le tour est joué 🙂

  5. @arnaudober : Oui, mais utiliser des technologies n’est pas censé nous obliger à compromettre notre sécurité.
    Certes le seul moyen d’être totalement à l’abri c’est de ne pas en utiliser, mais c’est pas parce que on s’en sert que l’on doit augmenter les prises de risques (j’espère que j’ai été assez clair dans ma formulation..)
    @overdoseofgames : C’est pas parce que je ne stocke pas d’informations sensibles sur mon phone que je n’en ai rien à faire que l’on me le pirate.

  6. Le nouveau capteur d’Apple est totalement biométrique il ne s’agit pas d’un simple lecteur d’empreintes comme pour les galaxy (qui n’a de biométrique que le nom).
    De plus, les 8 empreintes possibles sont stockées dans un compartiment sécurisé du co-processeur, impossible à extraire.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Mode